Requisitos de terminais

Webex Calling Edge

Para realizar um registro ou chamada SIP, conclua estas etapas:

  • Descubra o endereço host de um terminal SIP para nós Edge ativos.

  • Conclua todas as pré-condições relacionadas à configuração do usuário e do dispositivo.

  • Certifique-se de que o terminal tenha conectividade de rede pública para iniciar a descoberta de serviços.

  • Conclua as pré-condições de inicialização do terminal com uma configuração de provisionamento específica da região ou do data center. Essa configuração ajuda a obter o sufixo do nome de domínio relevante para a descoberta de serviços.

IPv4 versus IPv6

Os dispositivos podem operar em modo de versão única ou de pilha dupla. É a configuração que determina as alterações no protocolo preferencial e essas alterações não fazem parte da descoberta de serviços.

  • Modo de pilha única—habilita apenas um protocolo IP (por exemplo, IPv4) e ignora os outros endereços de protocolo.

  • Modo de pilha dupla—seleciona uma versão de IP preferencial através da configuração.

O cliente considera que a prioridade de todos os endereços preferenciais é inferior (ou seja, preferencial) a todos os endereços do IP. Se o IPv4 for escolhido, todos os endereços IPv4 serão testados antes de testar um endereço IPv6. Se todos os endereços falharem, o ciclo começará novamente com o endereço de protocolo preferencial de prioridade mais baixa.

Um cliente móvel que se registra ao receber uma notificação por push pode decidir otimizar o modo com base em registros anteriores.

Resolução do endereço host do endereço SRV DNS

No arquivo de configuração do terminal obtido do provisionamento, o indicador de domínio especifica o nome do domínio para descobrir o serviço edge de acesso. Um exemplo de nome de domínio é:

wxc.edge.bcld.webex.com

No exemplo, o terminal que executa uma pesquisa SRV DNS neste domínio pode gerar uma resposta semelhante à seguinte:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

Neste caso, o registro SRV indica 3 registros A.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

No exemplo, todos os organizadores são advertidos a entrar em contato com a porta 5061 com peso e prioridade diferentes.

Considere estes requisitos para terminais.

  • Um terminal deve usar _sips._tcp (combinação de serviço e protocolo) como o prefixo para executar uma pesquisa SRV DNS para obter o endereço host para iniciar a comunicação baseada em TLS.

  • Um terminal deve fazer uma pesquisa SRV DNS das condições explicadas na seção de Resolução do endereço host do endereço SRV DNS.

  • Um terminal deve respeitar o host, a porta, o peso e a prioridade conforme anunciado para cada endereço de host. Além disso, ele deve criar uma afinidade de host para porta ao criar uma conexão de soquete durante o registro SIP.

  • Específico para o uso do registro SRV DNS, os critérios de seleção de hosts com base na prioridade e no peso são explicados na RFC 2782.

Requisitos de SIP e mídia

Requisito

Description

Certificado de confiança necessário para criptografia de chave pública

Consulte o artigo para saber sobre a autoridade de assinatura dos certificados Webex e a CA raiz exigida nos dispositivos

Versão TLS compatível com SIP seguro

TLS 1.2

Cifras TLS compatíveis com SIP seguro

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Chaves SRTP compatíveis com mídia segura

AES_CM_128_HMAC_SHA1_80

Requisitos do SIP seguro com mTLS (TLS mútuo)

Os requisitos são explicados em detalhes aqui.

Um certificado assinado é necessário para uma autorização e autenticação bem-sucedidas de chamadas do tronco. O certificado deve atender aos seguintes requisitos:

  • O certificado deve ser assinado por uma CA mencionada em Quais autoridades de certificação raiz são compatíveis com chamadas em plataformas de áudio e vídeo Cisco Webex?

  • Carregue o pacote de confiança mencionado em Quais autoridades de certificação raiz são compatíveis com chamadas para plataformas de áudio e vídeo Cisco Webex? no CUBE.

  • O certificado deve ser válido sempre:

    • Os certificados assinados devem sempre ter uma validade válida.

    • Os certificados raiz ou intermediários devem ter uma expiração válida e não devem ser revogados.

    • Os certificados devem ser assinados para uso do cliente e do servidor.

    • Os certificados devem conter o Nome de domínio totalmente qualificado (FQDN) como um nome comum ou nome alternativo do assunto no certificado com o FQDN escolhido no Control Hub. Por exemplo:

      • Um tronco configurado no Control Hub da sua organização com london.lgw.cisco.com:5061 como o FQDN deve conter london.lgw.cisco.com no certificado CN ou SAN.

      • Um tronco configurado no Control Hub da sua organização com london.lgw.cisco.com como o SRV deve conter london.lgw.cisco.com no certificado CN ou SAN. Os registros que o endereço SRV determina (CNAME/Um registro/Endereço IP) são opcionais no SAN.

    • Você pode compartilhar certificados com mais de um Gateway local, no entanto, certifique-se de que os requisitos de FQDN sejam atendidos.

Fora do escopo

Este artigo não inclui as seguintes informações relacionadas à segurança de rede:

  • Requisitos F5 de CA e cifras

  • Uma API baseada em HTTP para baixar regras de firewall do Webex.

  • API para um pacote confiável

  • Requisito de firewall e desativação do ALG